Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• AXIGEN 5.0.x AXIMilter Format String Exploit (деталі)
• Format string and buffer-overflow in SurgeMail 38k4 (деталі)
• php-nuke sql injection reportaj [secid] (деталі)
• New diatheke packages fix arbirary shell command execution (деталі)
• Cisco PIX and ASA Time-to-Live Vulnerability (деталі)
• Centreon <= 1.4.2.3 (index.php) Remote File Disclosure (деталі)
• PHPMyTourney Remote file include Vulnerability (деталі)
• XSS on XRMS open source CRM (деталі)
• PR07-41: XSS on Juniper Networks Secure Access 2000 (деталі)
• Vulnerability in 123 Flash Chat Module for phpBB (деталі)

Мені періодично доводиться зіштовхуватися з інфікованими сайтами в Уанеті. Раніше я вже писав про інфіковані сайти hip.org.ua та wmast.com.ua.

Сьогодні я знайшов ще один заражений сайт. Сьогодні, під час пошуку в Гуглі, я виявив, що сайт www.doski.zp.ua інфікований. Бо Google повідомив стосовно нього, що “Ця сторінка може заподіяти шкоду вашому комп’ютерові”.

Після того, як я сам перевірив даний сайт, я впевнився, що він інфікований. На даному сайті розміщений шкідливий iframe. Який веде на шкідливу сторінку, що розміщена на китайському сайті. До речі, власник сайта вірогідно прибрав цей код з деяких сторінок сайта, але не зі всіх - шкідливий код все ще розміщений, як мінімум, на сторінці http://www.doski.zp.ua/index.php?des=add.

Адміну www.doski.zp.ua варто витерти шкідливий код з сайта і почати серйозно слідкувати за безпекою власного сайта.

30.06.2008

Сьогодні, як раз коли я зайшов на сайт подивитися курс долара, я знайшов Cross-Site Scripting уразливість на http://www.bank.gov.ua - сайті Національного банку України. Про що найближчим часом сповіщу адміністрацію сайта.

В тому, що сайт НБУ дірявий - я зовсім не сумнівався . Раніше, я вже писав про уразливості на сайтах інших банків (а для банківських сайтів дуже несерйозно мати уразливості), зокрема, Приватбанку та Агробанку. Хоча б НБУ варто було відрізнятися від інших банків кращим рівнем безпеки власного сайта.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

19.03.2009

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена. НБУ довгий час не хотів її виправляти, але після демонстрації цієї дірки в новинах на 1+1, де був показаний сюжет зі мною, вони все ж таки її виправили.

У травні, 12.05.2008, я знайшов Insufficient Anti-automation та Brute Force уразливості в системі ExpressionEngine. Які виявив на офіціному сайті системи http://expressionengine.com. Раніше я вже писав про уразливість в ExpressionEngine.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам системи.

В даній добірці уразливості в веб додатках:

• Belkin Wireless G Plus MIMO Router F5D9230-4 Authentication Bypass Vulnerability (деталі)
• Softbiz jokes and funny pictures (index.php) sql injection (деталі)
• Php Nuke “Sell” module SQL Injection (”cid”) (деталі)
• Pigyard Art Gallery Multiple SQL Injection (деталі)
• Joomla com_inter “id” Remote SQL Injection (деталі)
• Joomla Com_blog “pid” Remote SQL Injection (деталі)
• joomla com_simpleshop SQL Injection(section) (деталі)
• joomla com_wines SQL Injection(id) (деталі)
• joomla com_garyscookbook SQL Injection(id) (деталі)
• Joomla com_stat “id” Remote SQL Injection (деталі)

У червні, 13.06.2008, я знайшов Cross-Site Scripting та Denial of Service уразливості на проекті http://www.audiobooks.com.ua (онлайн магазин). Про що найближчим часом сповіщу адміністрацію проекту.

Стосовно дірок на сайтах онлайн магазинів останній раз я писав про уразливості на www.rozetka.com.ua та уразливість на esmi.subscribe.ru.

XSS:

• alert(document.cookie)
• цікавий
• html включення

DoS:

http://www.audiobooks.com.ua/index.php?searchstring=&show_all=yes
http://www.audiobooks.com.ua/index.php?searchstring=%25&show_all=yes

З бази даних виводиться інформація про всі товари сайта.

Раніше я вже згадував про цей онлайн магазин, що рівень його безпеки залишає бажати кращого (коли я й знайшов ці дірки). Окрім вищезгаданих уразливостей на сайті є чимало інших, що я можу сказати швидко оглянувши декілька сторінок сайту. Зокрема Brure Force, Insufficient Anti-automation та Cross-Site Scripting уразливості. Власникам онлайн магазинів варто більше слідкувати за їх безпекою.

09.10.2008

У грудні, 28.12.2007, я знайшов Cross-Site Scripting уразливість на проекті http://esmi.subscribe.ru (онлайн магазин subscribe.ru). Про що найближчим часом сповіщу адміністрацію проекту.

Раніше я вже писав про уразливість на subscribe.ru.

Детальна інформація про уразливість з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.

17.03.2009

XSS:

• alert(document.cookie)

Дана уразливість вже виправлена.

У квітні, 29.04.2008, я знайшов Abuse of Functionality та Insufficient Anti-automation уразливості в форумному движку Invision Power Board.

Abuse of Functionality:

Мені вже давно (с 2005) була відома можливість визначення логінів на форумі - ім’я користувача на форумі є одночасно і його логіном. А того дня я виявив ще одну можливість, що базується на моєму методі виявлення логінів через Abuse of Functionality уразливості.

На сторінці реєстрації http://site/index.php?act=Reg&CODE=00 функція перевірки логіну (чи вільний даний логін), що спрацьовує при введені імені користувача, дозволяє дізнатися логіни користувачів в системі.

Якщо вказаний логін є на форумі, система відповість “found”:
http://site/index.php?act=xmlout&do=check-user-name&name=admin

Якщо вказаного логіну немає на форумі, система відповість “notfound”:
http://site/index.php?act=xmlout&do=check-user-name&name=admin_

Insufficient Anti-automation:

Враховучи, що дана функція немає захисту від автоматизованих атак, це дозволяє проводити автоматизоване виявлення логінів в системі. Що може бути зроблено за допомогою брутфорсерів логінів, зокрема, моєї програми Brute force login identifier.

В подальшому виявлені логіни можуть бути використані для визначення паролів користувачів системи.

Уразливі Invision Power Board 2.3.6 та попередні версії.

В даній добірці уразливості в веб додатках:

• New yarssr packages fix arbitrary shell command execution (деталі)
• joomla com_hello_world SQL Injection(id) (деталі)
• joomla com_product SQL Injection(catid) (деталі)
• BestWebApp Dating System SQL Injection (деталі)
• Firebird Remote Memory Corruption (деталі)
• New turba2 packages fix permission testing (деталі)
• Powered by Pagetool Ver (1.04-05-06-07) (деталі)
• Joomla Com_publication “pid” Remote SQL Injection (деталі)
• Packeteer Products File Listing XSS (деталі)
• Alkacon OpenCms tree_files.jsp resource XSS (деталі)

До раніше мною оприлюднених уразливостей в Power Phlogger, повідомляю про нові уразливості в даній системі для ведення статистики відвідувань. Деякий час тому, 16.02.2008 та 14.06.2008, я виявив Abuse of Functionality та Denial of Service уразливості в Power Phlogger. Про що найближчим часом повідомлю розробникам веб додатку.

Abuse of Functionality:

Уразливість в системі відновлення (створення нового) паролю (http://site/dspNewPw.php).

Знаючи “Ім’я користувача” та “e-mail” (id, який є логіном, можна взяти з js-коду лічильника) можна тимчасово заблокувати доступ до акаунта - бо сгенерується новий пароль, що замінить старий (тому користувачу потрібно буде вводити вже новий пароль). І у випадку, коли лист з новим паролем не дійде на емайл користувача (через спам фільтри, або якщо в користувача не був вказаний емайл в акаунті), то доступ до акаунту буде повністю заблокований.

DoS (Looped DoS):

Скрипти редиректять самі на себе (зациклений редирект, про який я вже писав). Mozilla автоматично зупиняє даний зациклений редирект (видає Redirect Loop Error), а IE - ні (продовжує звертатися до сервера). Якщо клієнт, що звертається до скрипта, сам не зупинить редирект, наприклад бот пошукових систем, то це спричинить велике навантаження на сервер.

http://site/edCss.php/
http://site/config.inc.php
http://site/cookie.php/
http://site/dlcount.php/
http://site/dspBrowserOs.php/
http://site/dspCalendar.php/
http://site/dspLogs.php/
http://site/dspNewPw.php/
http://site/dspOnline.php/
http://site/dspSignup.php/
http://site/dspStats.php/
http://site/dspTTF.php/
http://site/edit_user.php/
http://site/edSettings.php/
http://site/index.php/
http://site/load_css.php/
http://site/login.php/
http://site/main-dummy.php/
http://site/main.php/
http://site/mirolog.js.php/
http://site/pphlogger.php/
http://site/showhits.php/

Це $PHP_SELF DoS атака. Існує вектор XSS атак через $PHP_SELF, а це вектор DoS атак.

Уразлива версія Power Phlogger 2.2.5 та попередні версії.

Це десята частина уразливостей в Power Phlogger. Найближчим часом напишу про інші уразливості в даному веб додатку.